电子商务安全的现状与趋势.doc

电子商务安全的现状与趋势1 单元概述本章的内容作为一个单元。学生通过本单元的学习，首先要能了解电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全3个部分来组成的。了解电子商务的安全威胁和趋势，理解电子商务的安全要求（保密性、完整性、认证性、可控性、不可否认性）和进行电子商务安全技术研究的现实意义。明白在电子商务整个运作过程中，会面临各种安全问题。典型的安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及其他方面的各种不可预测的风险。了解电子商务安全技术的主要内容和电子商务的安全防制措施（技术措施和管理措施）。了解电子商务安全标准和法规，为电子商务提供了一个数据完整性、不可否认性的安全环境。重点是电子商务的安全要求和一些重要的安全标准。其次了解案例所阐述的有关电子商务安全的现状。第三，要能运用所学知识对企业的电子商务安全环境进行合理的分析。在本单元的教学中，通过课程内容的讲解来帮助学生由浅入深地掌握教材中的基本内容和相关知识点，在课堂一问一答过程中，吸引学生的注意力，从而使学生能轻松掌握基本知识点、概念，活跃学生的思维，并使学生能自主分析，逐步提高学生理解、思考、表达、分析的能力，从而达到第一章的教学目的。本单元计划用6课时的时间。前3课时用案例讲解分析、概念分析、课堂问答、幻灯片演示、图表讲解等方式来完成教学任务。整个单元的讲课以案例“包年卡欺诈案”为例引入电子商务安全的概念，从而培养起学生对电子商务安全的正确概念和对整个课程的兴趣。后3课时由每个学生上网整理企业案例，让学生在结合教材第一章教学内容的同时，访问相关的特定电子商务安全的网站，阅读教师指定的参考资料，最后完成教师指定的实验项目，并写出实验报告，帮助学生消化课堂上所讲授的基本知识点。2 教学素材（1）网站：国家计算机网络应急技术处理协调中心网站（），见下图。（2）网站：信息安全国家重点实验室网站（），见下图。（3）网站：中国黑客联盟网站（），黑客技术。见下图。（4）素材：教师准备100篇不同行业企业的电子商务案例。学生选择一篇作为自己研究的案例，并参考同行业的另外四篇案例。通过五篇资料的阅读，使学生掌握除了书本之外的更多有关电子商务业务以及电子商务安全的知识。（5) 网站：谷歌网站（），搜索引擎，提供给学生在网上收集、整理、完善、分析案例与研究。（6)网站：百度网站（），搜索引擎，提供给学生在网上收集、整理、完善、分析案例与研究。3 教学纲要授课主题页码知识点、关键概念、课堂练习思考1.1电子商务安全问题 1.1.1安全漏洞第1页第1页电子商务的安全问题、电子商务的概念及构成、电子商务的安全需求、电子商务的安全现状和安全的防治措施。安全漏洞课堂练习思考：1.在电子商务整个运作过程中，典型的安全问题包括哪4类? 1.1.2 病毒感染第3页病毒感染课堂练习思考：2. 2004年蠕虫病毒出现了哪些新特点? 1.1.3 黑客攻击第3页黑客攻击，网页篡改，僵尸网络课堂练习思考：3.僵尸网络是指什么?僵尸网络为各企业机构带来了哪些特有的问题? 1.1.4 网络仿冒第4页网络仿冒课堂练习思考：4. 网络仿冒概念1.2触发电子商务安全问题的原因 1.2.1先天原因 第5页第5页先天原因、后天原因网络安全课堂练习思考：5. 触发电子商务安全问题的原因有哪些? 1.2.2后天原因第5页管理、人、技术1.3电子商务安全的概念与基本要求 1.3.1电子商务系统安全的构成 第6页 第6页电子商务安全电子商务系统安全的构成 实体安全 运行安全 信息安全课堂练习思考：6.电子商务系统的安全 7.实体安全 8.设备安全 9.运行安全 10.计算机安全 11.信息安全 12.网络安全 1.3.2 电子商务安全的需求第11页保密性 完整性 认证性 可控性 不可否认性1.4 电子商务安全的现状 1.4.1法律法规建设第11页第11页电脑犯罪立法 有关计算机安全的法律法规 有关保护个人隐私的法律法规 有关网络知识产权保护的法律法规 有关电子合同的法律法规1.4.2理论研究和技术开发第15页数据加密标准 密钥管理标准 安全认证标准 信息技术安全评价通用准则 公钥基础设施1.4.3网络安全的十大不稳定因素第15页Cookie, CGI, Java, 自由软件，电子邮件，微软，认证和授权，Linux, ICP, 网络管理员1.5 电子商务安全防治措施 1.5.1技术措施第17页第17页技术措施，管理措施网络安全检测设备、访问设备、防火墙、浏览器/服务器软件、端口保护、访问控制、数据加密、数字证书、保护传输线路安全、路由选择机制、流量控制、防入侵措施课堂练习思考：13.访问控制 14.流量分析攻击 1.5.2管理措施第19页人员管理制度、保密制度、跟踪、审计、稽核制度、系统维护制度、数据容灾制度、病毒防范制度、应急措施课堂练习思考：15.应急措施1.6 电子商务安全举措 1.6.1未来电子商务安全工作第21页第22页 1.6.2加强网络安全的10条建议第22页4 授课笔记案例："包年卡"欺诈案小张喜欢在购物网站上购买各种商品，因为在网上买东西既节省时间又节省金钱，况且网络购物也不像大多数人所认为的那样危机四伏。在小张以往的购物经历中，虽然偶尔也会发生一些不愉快，但通过自己与卖家的积极沟通或经由网站经营者出面进行协调，一般都可以得到解决。虽然近年来常有网络欺诈案件见诸报端，小张仍然很信任网络交易方式。 2006年初，小张在国内一家著名的购物网站上看到有卖家出售联通的COMA包年上网卡，其价格比在营业厅里购买至少便宜数百元。随后，小张查看了售卡者的信用目录，发现该卖家在此之前已经出售过同一品种的上网卡数十张，且买家都给予了不错的反馈。于是，小张便拍下了一张上网卡。他很快得到了卖家"妖言媚惑"的回应。在短短的十几分钟内，小张和这位叫作"妖言媚惑"的卖家完成了交易。小张得到上网卡的卡号和密码后便开始使用，一切都很正常。按照通常的交易习惯，小张为"妖言媚惑"做出了评价，并将货款全部结清。 一个月后，小张发现自己的上网卡竟然欠费不能继续使用了。他马上联系了当时的那位卖家"妖言媚惑"，然而，对方的电话无法接通，小张尝试了对方所有的联系方式均告失败。小张开始意识到，他可能被骗了。无奈之下，小张联系了网站的投诉部门，没想到网站也在寻找此人，被骗的人不只小张一个。此时，"妖言媚惑"却已在网上消失得无影无踪。 通过警方和网站的协同努力，真相开始浮出水面。原来，小张所使用的这张上网卡不过是一张包月卡。卖家"妖言媚惑"在联通营业厅办理了一批198元和298元的包月业务，然后以包年卡的形式从各大网站廉价抛售，每张卡卖1500元左右。2月份"妖言媚惑"不再为这些包月卡续费，这些卡就到期了。"妖言媚惑"在网站上总共出售了价值10万余元的"包年卡"，受骗网友达数十人。 小张认为网站应该承担部分责任，毕竟他是冲着网站的名气和声望才会如此轻信"妖言媚惑"。网站方面却表示在此案中他们并不负有责任，网站只是为大家提供交易平台，交易过程中的细节性问题需要网友自己留意，何况在当初注册前的协议条款中早已写明，网站在此类纠纷中是免责的，如果要追偿的话必须找到"妖言媚惑"本人。可查找"妖言媚惑"的下落并非易事，此人在网站上留下的信息均是伪造的。说到身份确认，小张认为网站方面是存在问题的。小张本人非常信任网站的身份审核，他本人也是提供了身份证明后，才获得在网站上出售商品的许可，但在"妖言媚惑"的案 件中，明显网站的身份审核工作没有到位，因为对方使用的是假的身份证明。 "妖言媚惑"改变了小张对网络购物的一贯看法，原本小张还是抱有"天下无贼" 的想法去购物的，但经历过此事后，小张在网络上购物时谨旗多了，他表示以后可能 不大会去购买金额较大的物品了。尽管网站方面认为自己没有过错，但是小张仍然认为是他们的信用体系存在漏洞，才会导致自己遭受那么大的损失，既然从法律角度讲网站没有责任，那么自己只好自认倒霉。思考题：电子商务存在哪些安全隐患？电子商务安全的现状、产生的原因、后果是什么？ 本单元教学以“包年卡欺诈案”案例为先导，通过案例的详细讲解，引入电子商务安全的概念，告诉学生，其实电子商务的不安全情况在我们身边时常发生。诸如小张在购物网站上购买上网卡被欺骗的例子，在日常生活中屡见不鲜。教师在进行该案例讲授的时候，既要对学生作启发式的讲解，又要通过该案例使学生了解什么是电子商务安全。接下来结合一个简单的网上购物流程和小案例，帮助学生回忆电子商务的业务流程，为以后就流程中安全问题的讲解埋下伏笔。简单的网上购物流程：用户通过网络登录商家在网上开设的电子商务网站，并进行购物。购物完成后，通过银行进行支付（和清算），并经过配送中心进行送货，用户拿到网上所定的商品。在这个过程中，认证中心应对用户、商家、银行、配送中心进行认证，发给数字证书，确保网上购物的安全。案例：ego365网上购物流程，教师可进行一次具体的网上注册、登录、购物流程，见图。ego365网站用户网上支付安全协议ChinaPay支付网关上海银行卡网络服务中心招商银行银行专网招商银行网上支付卡银行卡网络Internet（1）用户登录易购365网站，先要进行注册：签订易购网站提出的协议，并提交姓名、登录名、密码、身份证等个人信息，等注册成功后，才能开始购物；用户购物完毕后，页面会生成此次购物的订单，并传送到易购365网站（录入数据库）。（2）易购365将订单用ChinaPay（中国银联）提供的私钥进行数字签名后传送到ChinaPay的支付网关。（3）ChinaPay返回一个确认收到订单的信息给易购365网站，并同时生成支付页面发送给用户，用户接收到支付页面后，输入自己在招商银行办理的网上支付卡的卡号和密码。（4）用户在支付页面中输入网上支付卡的卡号和密码后，支付信息经数字信封加密后发送到ChinaPay的支付网关。（5）ChinaPay将合法订单和收到的支付信息重新生成一笔金融交易，并进行数字签名后，经银行卡网络服务中心提交招商银行后台业务系统授权。（6）招商银行后台业务系统在接收了支付请求后，进行相应的业务处理：验证信息是否正确以及余额是否足够等，并即时发回交易成功或不成功信息。如果交易失败，则将支付失败信息通过银行卡网络中心和ChinaPay的支付网关直接返回给用户。（7）若招商银行后台业务系统处理成功，则通过银行卡网络中心通知ChinaPay的支付网关。（8）ChinaPay的支付网关将成功处理信息传送给易购365网站，在接收到支付成功信息后，易购365网站将返回成功收到的应答信息，然后发货给用户，并在用户收到货物后要求用户签名。（9）ChinaPay的支付网关在接收到易购365返回的应答信息后，再将成功支付信息传送给用户。（10）清算流程：交易成功后，持卡人（用户）账户被实时扣款，每天23:00银行卡服务中心产生清算的报表，第二个工作日9:00由人民银行票据清分中心进行跨行清算，随后资金转入易购365在银行设置的账户中，整个网上购物流程结束。1.1 电子商务安全问题1.1节教师以图表展示的方式作适当讲解。· 漏洞l 1995到2004年漏洞公布数量（单位：个）l 典型的安全漏洞 1.Windows惊现高危漏洞，新图片病毒能攻击所有用户 2.WinXP SP2发现迄今最严重的安全漏洞 3.采用SP2的系统发现10个严重安全漏洞。 4.苹果的漏洞补丁程序不起作用 5.Solaris现致命漏洞，补丁迟迟不发布 6.IE惊现最新地址欺骗漏洞 7.IE和Mozilla等浏览器发现cookie漏洞 8.Firefox和电子邮件客户端出现三个安全漏洞 9.黑客可以利用PHP“危急”漏洞控制Web服务器 10.Java插件安全漏洞可能致使Windows和Linux受攻击 11.Real系列播放器发现危险级漏洞· 病毒· 蠕虫病毒· 蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。· 黑客攻击· 1.网页篡改l 耐克网站被黑客篡改l 2004年中国大陆网页篡改情况（单位：件）· 2.僵尸网络 · 僵尸网络也称为BotNet。Bot是robot的简写，通常是指可以自动地执行预定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。· 网络仿冒2004年网络仿冒事件报告（单位：起）1.2 触发电子商务安全问题的原因1.2节可以让学生自主学习，或教师可根据学生情况来进行讲授。· 先天原因· 网络的全球性、开放性和共享性使得电子商务传输过程中的信息安全存在先天不足。· 后天原因· 管理美国90%的IT企业对黑客的攻击准备不足。· 人黑客攻击· 技术软件漏洞、后门1.3 电子商务安全的概念与基本要求1.3节是本单元的一个重点，教师要重点进行讲授。· 电子商务交易示意图· 电子商务系统安全的构成电子商务安全的构成抽象地描述了电子商务安全的组成。在讲授本部分内容时，教师应根据教材中的图1.6，着重将电子商务概念模型的3个基本组成要素及其概念讲清楚，特别是对每个要素的内涵，应举一些实例辅助讲解，以加深学生的认识。计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。整体安全结构如下图。· 1.系统实体安全 保护计算机设备、设施（含网络）以及其他媒体避免地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。包括环境安全、设备安全和媒体安全三个部分。· 2.系统运行安全 为保障系统系统功能的安全实现，提供一套安全措施（如风险分析、审计跟踪、备份与恢复、应急等）来保护信息处理过程的安全。· 3.信息安全 防止信息财产被故意的或偶然的非授权泄露、修改、破坏使信息被非法的系统辨识、控制。包括操作系统安全、数据库安全、网络安全、计算机病毒防护、访问控制、加密和鉴别7部分。· 电子商务安全的需求在讲授本部分内容时，教师应给出示意图（见教材中的表1.1），并可通过讲解一个简单的网上购物流程或案例来配合教材的内容，将电子商务安全的需求要素介绍给学生。术语定义保密性（security）保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。完整性（integrity）防止信息在传输过程中丢失和重复以及非法用户对信息的恶意篡改。认证性（authenticity）确保交易信息的真实性和交易双方身份的合法性可控性（access control）保证系统、数据和服务能由合法人员访问不可否认性（non-repudiation） 有效防止通信或交易双方对已进行的业务的否认1.4 电子商务安全的现状本节可以让学生自主学习，或教师可根据学生情况来进行讲授。· 法律法规建设· 1.电脑犯罪立法· 2.有关计算机安全的法律法规· 3.有关保护个人隐私的法律法规· 4.有关网络知识产权保护的法律法规· 5.有关电子合同的法律法规我国2005年4月1日出台的中华人民共和国电子签名法承认了电子签名的法律效力，它是我国电子商务领域的第一部国家法，具有划时代的意义。· 理论研究和技术开发在提供保密性的加密算法里，有基于分组加密的DES算法，有基于大数因子分解的RSA算法，还有基于NP完全理论的背包加密算法，基于离散对数的ElGamal加密算法等等；在提供完整性和不可否认性的数字签名里，不仅有RSA签名和ElGamal签名，还有盲签名、多重签名和定向签名、代理签名等；在提供认证性领域里，有目前流行的公钥基础设施（PKI）；更有防火墙、授权服务器等产品来提供可控性。· 网络安全的十大不稳定因素· 1. Cookie · 2. CGI· 3. Java· 4. 自由软件· 5. 电子邮件· 6. 微软· 7. 认证和授权· 8. Linux· 9. ICP· 10. 网络管理员1.5 电子商务安全防治措施本节是本单元的另一个重点，教师要重点进行讲授。1.5中节教师应主要讲授技术措施中全部内容和管理措施中的数据容灾制度、病毒防范制度和应急措施。其他作为一般了解的内容。教师应将在技术措施和管理措施中选择重点内容，做成幻灯片显示给学生观看，有可能的话，应逐一进行讲解、分析，以加深学生的认识。· 技术措施· 1.网络安全检测设备· 2.访问设备· 3.防火墙· 4.浏览器/服务器软件· 5.端口保护· 6.访问控制· 7.数据加密· 8.数字证书· 9.保护传输线路安全· 10.路由选择机制· 11.流量控制· 12.防入侵措施· 管理措施· 1.人员管理制度· 2.保密制度· 3.跟踪、审计、稽核制度· 4.系统维护制度ü 硬件的日常管理与维护ü 软件的日常管理与维护· 5.数据容灾制度· 6.病毒防范制度· 7.应急措施1.6 电子商务安全举措本节可以让学生自主学习，或教师可根据学生情况来进行讲授。· 未来电子商务安全工作· 加强立法，参照先进国家已有的有效法律，不断创新，完善保护电子商务安全和打击网络犯罪的法律保障体系。· 建立相关机构，采取实际措施打击网络犯罪。·· 加大对网络安全技术的投入，提高网络安全技术水平。·· 鼓励企业加强自我保护，防范网络犯罪侵害。·· 加强国际合作，增强全球范围内打击网络犯罪的力度。·· 加强对国民的网络安全教育，注重对优秀计算机人才的培养。· 加强网络安全的十条建议· 1.安装操作系统和服务器所有的补丁程序。· 2.为网络设备升级。· 3.如果是通过网络服务商提供接入服务的，应当与网络服务商保持联系，不要让自己无意中卷入了拒绝服务攻击，时刻保证自己的设备安全无忧。· 4.通过使用防火墙等方式，制定严格的网络安全规则，对进出网络的信息进行严格限定。· 5.将网络的TCP超时限制缩短至15分钟（900秒），以减少黑客进攻的窗口机会。· 6.扩大连接表，增加黑客填充整个连接表的难度。· 7.时刻监测系统的日志文件和网络信息流向，以便及时发现任何异常之处。· 8.经常对整个网络进行扫描，以发现任何安全隐患，如软件漏洞等。· 9.尽量减少暴露在互联网上的系统和服务的数量。· 10.路由器要安装必要的过滤规则。单元小结本章概述了电子商务安全的现状和趋势，提出了进行电子商务安全技术研究的现实意义。 电子商务整个运作过程中，会面临各种安全问题。典型的安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及其他方面的各种不可预测的风险。 从计算机信息系统的角度看，电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全3个部分来组成的。只有提供了保密性、完整性、认证性、可控性、不可否认性5方面安全性，才满足电子商务安全的基本需求。 电子商务的安全发展必须依靠法律的保障。世界范围内已陆续有多个国家承认电子合同、电子签名、电子商务凭证等的法律效力，为电子商务提供了一个数据完整性、不可否认性的安全环境。 电子商务的安全防制措施包括技术措施和管理措施。安全管理的措施通常是以制度的形式出现。课后作业 1阅读教材第一章P1P23，完成教材P23P26的复习题。2完成下面的题目。Ø 名词解释 电子商务 EDI BTOB BTOC intranet Extranet 商务数据的机密性 邮件炸弹CP劫持入侵HTTP协议的“有无记忆状态” Ø 简答题什么是保持数据的完整性？网页攻击的步骤是什么？什么是Intranet?为什么交易的安全性是电子商务独有的？攻击WEB站点有哪几种方式？WEB客户机和WEB服务器的任务分别是什么？电子商务安全的六项中心内容是什么？ 5 实践内容本单元后3课时安排学生上机，内容可安排：（1）网站，让学生查找、了解相应的有关世界上Internet商务安全标准的背景资料和内容介绍。（2）素材1：登录国家计算机网络应急技术处理协调中心网站： 。了解最新的业界动态。（3）网站，让学生收集、完善教师指定给的企业案例，熟悉案例中企业的业务流程。提交案例。（4）素材2：登录信息安全国家重点实验室网站：，了解取得的最新安全成果。分析企业的电子商务安全现状是什么？存在哪些安全隐患？ （5）素材3：登录中国黑客联盟网站：），了解黑客技术及最新动态。（6）实验：电子商务系统安全解决方案实验目的：了解当前电子商务安全存在的问题、现状、产生的原因、后果是什么，及其系统的解决方案。基本要求：通过浏览国内、外电子商务安全网站，了解当前电子商务安全存在的问题、现状、产生的原因、后果是什么，及其系统的解决方案。提交实验报告。  6 参考答案案例思考：案例解析 通过本章的学习，我们分析前面的案例可以得出以下几点结论: (1)电子商务安全是一个系统工程，一个安全的网络购物环境必须由政府、交易平台提供商以及网络交易者几方面共同努力建设才有可能实现。本案中，消费者一方的盲信和疏忽是造成损失的重要原因之一。 (2)网络购物者必须熟悉网络购物以及支付的流程，在目前国内信用体系还未建立的情况下，消费者首先要学会保护自己。本案中如果消费者能够在现有交易流程下，对所购商品进行分析，并追求相关部门的确认，损失原本是可以避免的。 (3)网络交易风险存在于各个方面，网络交易者应该注意到所有的风险来源，并尽量规避。对商品信息进行隐瞒只是购物安全的一个方面，网络交易者在一次交易过程中，进行的所有活动都可能是风险的来源之一，包括所使用的计算机软件和硬件、交易对象的诚信度和可靠性等等。 (4)网络交易风险具有一定的时进性，只有善于分析潜在风险，才能彻底避免损失。 网络安全保证并非一劳永逸，网络交易者需要始终保持警觉。 (5)在网络交易过程中，注意交易凭证的保存，且交易凭证需符合现行法律的规定。 C2C交易过程中的信息传递，一般是通过即时消息工具进行的，这种形式的信息是不 受法律保护的，虽然，一部分交易平台将这些信息作为解决纠纷的凭证，然而事实上， 这些凭证并不具有法律效力。因此在大额交易中，获取合法的凭证是必要的。课堂练习思考：1.在电子商务整个运作过程中，典型的安全问题包括哪4类? 在电子商务整个运作过程中，典型的安全问题包括安全漏洞、病毒感染、黑客攻击、网络仿冒4类。 2.2004年蠕虫病毒出现了哪些新特点? 2004年蠕虫病毒出现的新特点有:蠕虫被黑客用来驱动预定的拒绝服务攻击，如冲击波(2003年)、Mydoom蠕虫等，如果这种方法被应用于对互联网上的关键节点服务器、路由器进行拒绝服务攻击，将会导致整个互联网业务的瘫痪，且在理论上，并没有有效的方法来应对该类攻击。蠕虫也逐渐被用来植入木马程序和后门软件，如震荡波系列蠕虫等，给感染蠕虫的用户带来严重的泄密威胁，同时也造成大量潜在的可受黑客控制的主机。 3.僵尸网络是指什么?僵尸网络为各企业机构带来了哪些特有的问题? 僵尸网络也称为BotNet。 Bot是robot的简写，通常是指可以自动地执行预定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。它可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、P2P软件等途径进入用户主机。一旦用户主机被植入Bot，就主动和互 联网上的一台或多台控制节点取得联系，进而自动接收黑客通过这些控制节点发送的控制命令，这些受害主机和控制服务器就组成了BotNet。僵尸网络为各企业机构带来了特有的问题: 由于攻击者可以非常迅速地在僵尸网络上远程安装最新的漏洞利用代码，从而可能赶在一个机构对具有漏洞的系统安装补丁之前入侵该系统。 4.网络仿冒 网络仿冒在国际上通称为Phishing，在我国也称为网络欺诈、网页仿冒或者是网络钓鱼。它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息，如银行账户和口令等。甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。 5.触发电子商务安全问题的原因有哪些? 触发电子商务安全问题的原因概括起来有两个方面:先天原因和后天原因。先天原因是指电子商务是继网络之后才出现的，是网络发展过程中的产物。所以当初网络的建立仅考虑了网络不会因为局部故障而影响信息的传输这个问题，并没有顾及电子商务安全，这样，它的全球性、开放性和共享性就使得电子商务过程中传输的信息安全存在先天不足， 黑客们就可以利用公共的网络环境传播各种病毒等。后天原因里又可细分为管理、人和技术三个方面。6.电子商务系统的安全 电子商务系统的安全从计算机信息系统的角度来阐述，电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全这三个部分来组成的。 7.实体安全 实体安全是指保护计算机设备、设施含网络)以及其他媒体免遭地震、水灾、火 灾、有害气体和其他环境事故(如电磁污染等破坏的措施、过程。 8.设备安全 设备安全:是指对电子商务系统的设备进行安全保护，主要包括设备的防盗和防毁，防止电磁信息泄漏，防止线路截获，抗电磁干扰以及电源保护等6个方面。 9.运行安全 运行安全:是指为保障系统功能的安全实现，提供一套安全措施(如风险分析，审计 跟踪，备份与恢复，应急等)来保护信息处理过程的安全。 10.计算机安全 计算机安全:是为数据处理系统建立和采用的技术与管理的安全保护，包括保护计算机硬件、软件、数据不因偶然的或恶意的行为而遭到破坏、更改和显露。概括起来说，计算机 安全包括计算机设备安全(硬件和软件)及数据库安全。 11.信息安全 信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。 12.网络安全 网络安全是指提供访问网络资源或使用网络服务的安全保护。即通过采用各种技术和管理措施，使网络正常运行，确保网络中数据的可用性、完整性和保密性。它涉及网络安全管理、安全网络系统和网络系统安全部件。 13.访问控制 访问控制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。 14.流量分析攻击 流量分析攻击是攻击者通过分析网络中某一路径的信息流量和流向，就可以判断某事件的发生，进而采取攻击的行为。 15.应急措施应急措施:是指在计算机灾难事件发生时，利用应急计划、辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复正常运行。课后作业答案： 1阅读教材第一章P227P255，完成教材P255P257的复习题。 参考教材P258P260的参考答案。2完成下面的题目。Ø 名词解释  电子商务：顾名思义，是建立在电子技术基础上的商业运作，是利用民子技术加强，加快，扩展，增强，改变了其有关过程的商务。  EDI：电子数据交换是第一代电子商务技术，实现BTOB方式交易。  BTOB：企业机构间的电子商务活动。  BTOC：企业机构和消费者之间的电子商务活动。  intranet：是指基于TCP/IP协议的企业内部网络，它通过防火墙或其他安全机制与intranet建立连接。intranet上提供的服务主要是面向的是企业内部。  Extranet：是指基于TCP/IP协议的企业处域网，它是一种合作性网络。  商务数据的机密性：商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取，不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。  邮件炸弹：是攻击者向同一个邮件信箱发送大量的垃圾邮件，以堵塞该邮箱。  TCP劫持入侵：是对服务器的最大威胁之一，其基本思想是控制一台连接于入侵目标网的计算机，然后从网上断开，让网络服务器误以为黑客就是实际的客户端。  HTTP协议的“有无记忆状态”：即服务器在发送给客户机的应答后便遗忘了些次交互。TLENET等协议是“有记忆状态”的，它们需记住许多关于协议双方的信息，请求与应答。Ø 简答题什么是保持数据的完整性？  答：商务数据的完整性或称正确性是保护数据不被未授权者修改，建立，嵌入，删除，重复传送或由于其他原因使原始数据被更改。在存储时，要防止非法篡改，防止网站上的信息被破坏。在传输过程中，如果接收端收到的信息与发送的信息完全一样则说明在传输过程中信息没有遭到破坏，具有完整性。加密的信息在传输过程，虽能保证其机密性，但并不能保证不被修改。网页攻击的步骤是什么？  答：第一步，创建一个网页，看似可信其实是假的拷贝，但这个拷贝和真的“一样”“假网页和真网页一样的页面和链接。 第二步：攻击者完全控制假网页。所以浏览器和网络是的所有信息交流者经过攻击者。 第二步，攻击者利用网页做假的后果：攻击者记录受害者访问的内容，当受害者填写表单发送数据时，攻击者可以记录下所有数据。此外，攻击者可以记录下服务器响应回来的数据。这样，攻击者可以偷看到许多在线商务使用的表单信息，包括账号，密码和秘密信息。  如果需要，攻击者甚至可以修改数据。不论是否使用SSL或S-HTTP，攻击者都可以对链接做假。换句话说，就算受害者的游览器显示出安全链接图标，受害者仍可能链接在一个不安全链接上。 什么是Intranet?  答：Intranet是指基于TCP/IP协议的内连网络。它通过防火墙或其他安全机制与Intranet建立连接。Intranet上可提供所有Intranet的应用服务，如WWW，E-MAIL等，只不过服务面向的是企业内部。和Intranet一样，Intranet具有很高的灵活性，企业可以根据自己的需求，利用各种Intranet互联技术建立不同规模和功能的网络。 为什么交易的安全性是电子商务独有的？  答：这也是电子商务系统所独有的。在我们的日常生活中，进和一次交易必须办理一定的手续，由双方签发各种收据凭证，并签名盖章以作为法律凭据。但在电子商务中，交易在网上进行，双方甚至不会见面，那么一旦一方反悔，另一方怎么能够向法院证明合同呢？这就需要一个网上认证机构对每一笔业务进行认证，以确保交易的安全，避免恶意欺诈。 攻击WEB站点有哪几种方式？  答：安全信息被破译：WEB服务器的安全信息，如口令，密钥等被破译，导致攻击者进入WEB服务器。浏览器的强大功能，可以以不同形式访问WEB站点的数据，这不仅为用户，同时也为攻击者打开了许多方便之门。攻击者试图在内部网上获取信息或利用；计算机资源。因此，必须保护WEB站点，防止闯入者的袭击。最常见，也是最有效的保护是使用防火墙。  非法访问：未授权者非法访问了WEB上的文件，损害了电子商务中的隐私性，机密截获。  交易信息被截获：当用户向服务器传输交易信息时被截获。  软件漏洞被攻击者利用：系统中的软件错误，使得攻击者可以对WEB服务器发出指令，致使系统被修改和损坏，甚至引起整个系统的崩溃。  当用CGI脚本编写的程序或其他涉及到远程用户从浏览中输入表格并进行像检索之类在主机上直接操作命令时，会给WEB主机系统造成危险。 WEB客户机和WEB服务器的任务分别是什么？  答：WEB客户机的任务是：（1）为客户提出一个服务请求超链时启动；（2）将客户的请求发送给服务器；（3）解释服务器传送的HTML等格式文档，通过浏览器显示给客户。WEB服务器的任务是：（1）接收客户机来的请求；（2）检查请求的合法性；（3）针对请求，获取并制作数据，包括使用CGI脚本等程序，为文件设置适当的MIME类型来对数据进行前期处理和后期处理；（4）把信息发送给提出请求的客户机。 电子商务安全的六项中心内容是什么？  答（1）商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取，不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。   （2）商务数据的完整性或称正确性是保护数据不被未经授权者修改，建立，嵌入，删除，重复传送或由于其他原因使原始数据被更改。   （3）商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份。   （4）商务服务的不可否认性是指信息的发送方面不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法津有效性要求。  （5）商务服务的不可拒绝性或称可用性是保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。   （6）访问的控制性是指在网络上限制和控制通信链路对主机系统和应用的访问：用于保护计算机系统的资源（信息，计算和通信资源）不被未经授权人或以未经授权方式接入，使用，修改，发出指令或植入程序等。7参考资料： 教材： 电子商务的安全技术，劳帼龄，2005，中国水利水电出版社 辅助教材：  1.电子商务的安全技术，劳帼龄，2005，中国水利水电出版社  2.安全电子商务实用技术，张炯明  编著，北京：清华大学出版社 ,2002  3.电子商务安全 管理，闫强，胡桃，吕廷杰  编著，北京：机械工业出版社，2007  4.电子商务安全与电子支付  杨坚争，赵雯鹏，杨立钒 编著，北京：机械工业出版社,2007  5.电子商务安全技术，马尚才 编著，北京 ：国防工业出版社， 2003  6.安全电子商务实用技术，张炯明，北京：清华大学出版社 ,2002  7.电子商务实验教程，邵兵家，重庆：重庆大学出版社， 2003  8.电子商务安全保密技术与应用，罗智文,丘晓华，华南理工出版社， 2006  9.电子商务安全. 冯矢勇， 北京:电子工业出版社，2002  10.电子商务安全技术，马尚才，北京:国防工业出版社， 20